Большой практический курс
по DevSecOps.
За 5 месяцев научитесь строить безопасные пайплайны своими руками - от первого SAST-скана
до vulnerability management в ASOC.
Учит команда действующих практиков, которые сами строят DevSecOps в продуктовой разработке.
Что в этом курсе по-другому
EverBank — полноценное учебное банковское приложение из 16+ микросервисов на Java/Spring, Go (gRPC), Python (FastAPI/Flask) и React/TypeScript, с PostgreSQL, Redis, MinIO, Kafka и Nginx-gateway. В коде, зависимостях, Dockerfile, CI-конфигах и инфраструктуре намеренно посажены десятки закладок сразу под все классы сканеров: SAST, SCA, Secret Detection, Container Security, DAST по REST.
Это сквозной проект. Один и тот же EverBank вы прогоняете через весь пайплайн: от первого SAST-скана до финального dashboard'а в ASOC-платформе. К концу курса в вашем активе — опыт развёртывания DevSecOps-пайплайна для приложения уровня настоящего банка. Не один сервис, а целая микросервисная экосистема.
Без теории в DevSecOps никак: вы разбираете, как работают движки SAST, что такое taint analysis, как устроена цепочка эксплуатации каждого класса уязвимостей. Но теория не самоцель, а инструмент.
Каждый технический модуль — это не лекция и пара упражнений после, а полноценный практический блок: натравили сканер на EverBank, получили десятки реальных находок, разобрали каждую руками, починили, перезапустили пайплайн, убедились, что починили.
Прежде чем сканировать, нужно понимать, что именно сканер ищет. В модуле 0 — 20+ отдельных CTF-стендов на реалистичных микросервисных приложениях: SQLi (in-band / blind / OOB), SSRF, SSTI в Jinja2, XXE, IDOR, CSRF с headless-ботом, Mass Assignment, Path Traversal, Insecure Deserialization, Prototype Pollution, OS Command и Code Injection, Race Conditions / TOCTOU (DNS rebinding, symlink swap), Business Logic в логике мини-банка.
Программа собрана и читается командой преподавателей — действующих специалистов, которые сами строят DevSecOps-процессы в продуктовой разработке. Вы не услышите про DSOMM как про абстрактную модель — увидите, как поэтапно перевести команду по этой модели и какие реальные грабли ждут на каждом уровне. После каждого модуля — индивидуальный созвон с преподавателем, где вы разбираете свою работу один на один.
Формат
Темп комфортный для тех, кто учится параллельно с работой: видео и конспекты, в записи, практика, на собственном стенде курса.
Кому подойдёт
Курс рассчитан на инженеров и руководителей, которым DevSecOps нужен не «для общей эрудиции», а как рабочий инструмент.
Хотите перейти в DevOps / DevSecOps. У вас уже есть фундамент по Linux, сетям и инфраструктуре, мы добавим к нему пайплайны, контейнеры, IaC и безопасность.
Хотите двинуться в безопасность. Вы уже умеете строить CI/CD, мы научим встраивать в него SAST/DAST/SCA, контейнерные и IaC-сканеры, secret detection и vulnerability management, не убивая скорость поставки.
Нужно системно собрать в голове всю картину, от мышления атакующего до управления уязвимостями. У вас уже есть базовый опыт с пайплайнами, осталось собрать практики безопасности в единый процесс.
Знаете уязвимости, мы покажем, как из их поиска вручную сделать конвейер, который ловит то же самое автоматически на каждом коммите.
Нужно принимать решения о внедрении DevSecOps в своей команде. Получите не только техническую базу, но и стратегию: как поэтапно зреть команду по DSOMM, какие инструменты вводить в каком порядке, как разговаривать на одном языке с разработкой, ИБ и руководством.
Вы уже знаете, как ваши приложения устроены изнутри: код, фреймворки, базы, очереди. Мы обогатим этот опыт практикой безопасной разработки и автоматизации, чтобы защита работала на каждый коммит, а не висела отдельным процессом сбоку.
Не уверены, что подойдёт? Пройдите короткий тест за 2 минуты — 6 вопросов по Linux, сети, HTTP и чтению кода. Поймёте, насколько комфортно будет на потоке.
Пройти тест →Результат
Конкретные действия, не «понять основы», а «настроил и сдал в работу».
Программа
Модуль 0, вводная лекция: обзор курса, маршрут по модулям и инструменты. Модуль 1, фундамент по уязвимостям на 24 CTF-стендах. Модули 2–11, сквозной пайплайн на EverBank, от SAST до compliance-as-code. Модуль 12, итоговая работа: собрать всё в одной ASOC-платформе.
Зачем этот курс и какую проблему бизнеса решает DevSecOps, чему вы научитесь за поток и каким специалистом выйдете. Знакомимся с преподавателями-практиками, разбираем карту курса и маршрут по всем модулям, готовим рабочее место и инструменты, которые понадобятся.
Фундамент, без которого DevSecOps превращается в шаманство со сканерами. Своими руками эксплуатируете 20+ классов веб-уязвимостей (SQLi, SSRF, SSTI, XXE, IDOR, CSRF, Mass Assignment, Race Conditions, Business Logic) на отдельных CTF-стендах по OWASP Top 10, а в итоговой работе связываете их в единый киллчейн.
DevOps как культура и набор практик: люди, процессы, технологии. Различие Continuous Integration / Delivery / Deployment, устройство пайплайна end-to-end, типовые ловушки и антипаттерны.
Технологический ландшафт современного DevOps: SCM, базовая работа в Linux, контейнеризация, управление конфигурациями и инфраструктурой, CI/CD-платформы. Учимся собирать рабочий пайплайн под задачу.
Переход от DevOps к DevSecOps без потери скорости поставки: Secure SDL, ключевые принципы безопасной разработки, модели зрелости (DSOMM). Главный навык, понимать, что и в какой момент имеет смысл внедрять.
API-ключи, токены и пароли в коде, частая причина инцидентов. Подходы к поиску (статический, энтропийный, паттерн-матчинг), интеграция в CI/CD и pre-commit hooks, политики хранения и ротации.
Поиск уязвимостей в исходном коде до прода: подходы и движки, интеграция в пайплайн, кастомизация правил, отсев false positive.
Большая часть кода, сторонние библиотеки. Работа с пакетными менеджерами и lock-файлами, понятие SBOM, платформы управления уязвимостями зависимостей, разбор находок и false positive.
Открытые порты, слишком широкие IAM, публичные бакеты, дорогие уязвимости. Сканирование IaC и Kubernetes-манифестов до развёртывания, бенчмарки безопасности, разбор реальных мисконфигов.
Контейнер, это код приложения, базовый образ, рантайм и реестр. Сканирование образов и Dockerfile, защищённый реестр, политика жизненного цикла образов, работа с подписями.
Тестирование работающего приложения с позиции атакующего. Аутентифицированное сканирование, разбор ложных срабатываний.
Сканеры найдут сотни уязвимостей, и тут самое интересное начинается. VM-процесс end-to-end в ASOC/ASPM: агрегация и дедупликация находок всех сканеров по 16 микросервисам EverBank, интеграция с Jira, метрики и SLA.
Превращаем требования (внутренние стандарты, регуляторные нормы) в проверяемые правила прямо в пайплайне: Quality Gates, описание политик как кода, конфигурация CI-платформы под compliance-требования. Итоговая работа: собираем compliance-проверки в единый пайплайн EverBank, кейс для портфолио.
Полная программа с разбивкой по урокам публикуется до старта потока.
Тариф
EverBank, 24 CTF-стенда, финальная работа в ASOC и удостоверение о повышении квалификации. Набор на текущий поток закрыт, он уже идёт. Следующий поток стартует этой осенью, запись в лист ожидания открыта.
Текущий поток уже идёт. Запишитесь в лист ожидания, забронируем место в следующем потоке и сообщим дату старта.
FAQ
Курс гибридный, материалы лекций и методические материалы по прохождению лабораторных доступны в личном кабинете на протяжении всего потока. Параллельно, 2 домашних работы в неделю с практикой на EverBank или CTF-стендах. Длительность потока, 5 месяцев, материалы и лабораторные работы доступны в течение года с начала потока. Чат потока в Telegram идёт параллельно курсу.
Да. Все материалы, в записи изначально. Групповые разборы по темам тоже записываются и появляются в личном кабинете в течение суток.
Да. По итогу курса выдаём удостоверение о повышении квалификации установленного образца (программа дополнительного профессионального образования, лицензия № Л035-01221-58/04457900 от 26.02.2026, Министерство образования Пензенской области). Удостоверение вносится в ФИС ФРДО, признаётся работодателями и подходит для подтверждения квалификации в HR.
Да. Мы рассчитываем, что у вас есть опыт администрирования Linux, вы работали с bash и любым языком программирования. Если вы только начинаете в IT, сначала освойте базовые навыки работы с Linux, напишите хотя бы один CI/CD-пайплайн, поработайте с клиент-серверными приложениями, чтобы лучше понимать их архитектуру, потом приходите сюда.
Хотите проверить базу прямо сейчас? Пройдите короткий тест готовности — 6 вопросов на 2 минуты.
Старт продаж 06.2026, старт обучения 20.06. Длительность потока, 5 месяцев. Следующий старт, обычно через 6–8 недель после текущего; точная дата объявляется в Telegram-канале и в личном кабинете для тех, кто записан в waitlist.
После оплаты в течение дня на e-mail придёт письмо со ссылкой на личный кабинет edu.eversecure.ru. Там все материалы курса и чат потока с преподавателями в мессенджере.
Да. Договор и счёт от ООО «ЭВЕР СЕКЬЮР» (ИНН 5800014604), за 1 рабочий день. Реквизиты заполняются в форме записи, далее, переписка с менеджером по почте. Закрывающие документы, стандартный пакет: акт + счёт-фактура (УПД при необходимости). Для команд от 5 человек, корпоративные условия, напишите на contact@eversecure.ru.
Если поняли в первые 14 дней после старта, что курс не подходит, возвращаем 100% стоимости. Если нужно перенести участие на следующий поток, напишите в поддержку, переносим без штрафа один раз.
Остались вопросы?
Расскажите про задачу, ответим по программе, формату, оплате и доступу к курсу. Форма ниже, или напишите на contact@eversecure.ru.